現(xiàn)有設(shè)備：CISCO路由器2620XM（4臺(tái)）和2621XM（5臺(tái)），3750三層交換機(jī)，PIX-515E防火墻，CISCO2950二層交換機(jī)（9臺(tái)）
重點(diǎn)命令：有安全，控制，監(jiān)控，監(jiān)測(cè)和檢測(cè)功能的命令集合和命令組合

一、兩層交換機(jī)

1、基本配置
（1）設(shè)置VLAN1的ip地址，掩碼：
配置：
switch#config terminal
(config)#interface vlan1    ！進(jìn)入到要配置IP的接口
(config-if)#ip address 10.1.10.253(ip)  255.255.255.0(mask)  ！設(shè)置參數(shù)
驗(yàn)證：
(config-if)#exit
switch#show interface vlan1
保存設(shè)置：
switch#copy running-config startup-config

（2）劃分VLAN
配置：
switch#vlan database(還有一種方法)   ！創(chuàng)建一個(gè)VLAN
switch#vlan 2
switch#exit
switch#config terminal
one port:
(config)#interface fastethernet0/0      ！進(jìn)入到要被劃分的端口
(config-if)#switchport access vlan 2    ！劃分到一個(gè)VLAN
multiports:
(config)#interface range fastethernet0/0 -7  ！進(jìn)入到要被集體劃分的端口
(config-if)#switchport access vlan 2     ！劃分到一個(gè)VLAN
驗(yàn)證：
switch#show vlan
保存：
switch#copy running-config startup-config

（3）設(shè)置trunk
配置：
switch#config terminal
(config)#interface gigabitethernet0/1  ！進(jìn)入要配置成干道的接口
(config-if)#switchport mode trunk    ！設(shè)置成干道
驗(yàn)證：
switch#show interface trunk
保存：
switch#copy running-config startup-config

（4）連接路由器
假如交換機(jī)上有多個(gè)VLAN，則所連的路由器接口就必須有多個(gè)IP地址。要用子接口設(shè)置多IP地址。連接到路由器上的接口要被設(shè)置成trunk，并且要封裝干道協(xié)議：ISL，或者802.1Q。
配置交換機(jī)：
switch#config terminal
(config)#interface gigabitethernet0/1
(config-if)#switchport mode trunk  !配置成干道，將自動(dòng)封裝802.1q協(xié)議
配置路由器：
router#config terminal
(config)#interface fastethernet0/0.2   ！進(jìn)入子接口2
(config-subif)#encapsulation dot1q 2   ！子接口對(duì)應(yīng)VLAN2，并封裝dot1q協(xié)議
(config-subif)#ip address 10.1.20.1  255.255.255.0  !配置了10.1.20.0/24網(wǎng)段的網(wǎng)關(guān)
確認(rèn)：
router#show interface fastethernet0/0
不同VLAN下的主機(jī)可以相互ping通，則配置成功。
保存配置

（5）連接交換機(jī)
同種類型的網(wǎng)絡(luò)設(shè)備相連要使用交叉線。交換機(jī)使用交叉線相連后，將會(huì)自動(dòng)將兩端設(shè)置成干道。

2、VTP（VLAN Trunk PRotocol）
（1） 作用：
答應(yīng)用戶集中治理網(wǎng)絡(luò)中交換機(jī)的配。VTP是一種消息協(xié)議，可以對(duì)整個(gè)網(wǎng)絡(luò)內(nèi)的VLAN的添加、刪除和重命名操作進(jìn)行治理，以此維護(hù)VLAN配置的一致性。
（2） 工作方式
確定一條交換機(jī)為VTP服務(wù)器。
可以在服務(wù)器上更改VLAN的配置，并把該配置傳播到網(wǎng)絡(luò)中的所有VTP客戶機(jī)。
當(dāng)交換機(jī)配置成VTP客戶機(jī)之后，就不能物理地改變?cè)摻粨Q機(jī)的VLAN配置。
唯一可以更改VLAN配置的方法是當(dāng)且僅當(dāng)VTP客戶端交換機(jī)接收到來(lái)自其VTP服務(wù)器的VTP更新信息時(shí)，才能更改。
多臺(tái)VTP服務(wù)器治理不同的VTP客戶機(jī)，必須指定一個(gè)VTP域。服務(wù)器和客戶機(jī)在各自的域內(nèi)。

二、路由器
1、基本配置
（1）以太網(wǎng)口配置
注：路由器以太網(wǎng)口直接接主機(jī)用交叉線。
（2）串口配置
（3）配置靜態(tài)路由
（4）配置動(dòng)態(tài)路由協(xié)議
（5）配置訪問(wèn)控制列表（ACL）**
（6）路由器互聯(lián)

2、問(wèn)題
（1）無(wú)法配置靜態(tài)路由，出現(xiàn)“Default gateway is not set ….. ICMP redirect cache is empty”
原因：IP路由被禁用
解決：(config)#ip routing

（2）與其他設(shè)備的接口狀態(tài)上，”protocol  down”
可能的原因：雙絞線的接線類型不對(duì)
解決：換成直通線或者交叉線。

三、三層交換機(jī)
1、基本配置

（1）配置IP
手工配置：
(config)#interface vlan vlan-id
(config-if)#ip address ip-address subnet-mask
(config-if)#exit
(config)#ip default-gateway ip-address
確認(rèn)配置：
#show interface vlan vlan-id
#show ip redirects  ！確認(rèn)默認(rèn)網(wǎng)關(guān)配置
保存：＃copy running-config startup-config
使用DHCP配置

（2）使不同VLAN互聯(lián)
 

（3）配置某個(gè)端口為trunk
(config)#interface fastethernet1/0/23
(config-if)#switchport encapsultion dot1q
(config-if)#switchport mode trunk

（4）默認(rèn)路由及路由協(xié)議的設(shè)定
問(wèn)題
（1）多個(gè)子網(wǎng)連接到三層交換機(jī)，交換機(jī)上設(shè)定了每個(gè)子網(wǎng)對(duì)應(yīng)的網(wǎng)關(guān)地址，交換機(jī)通過(guò)router連接到其他的網(wǎng)絡(luò)或者區(qū)域。三層switch和router上相同網(wǎng)段的地址無(wú)法相互ping 通。如：3750上有192.168.8.254（VLAN1），192.168.16.254（VLAN2），192.168.24.254（VLAN3）；router上有192.168.8.1，192.168.16.1，192.168.24.1。
    現(xiàn)象：192.168.8.254 可以ping通192.168.8.1，但是.16.和.24.網(wǎng)段的無(wú)法ping通。
    原因：router接到switch上的接口沒(méi)有設(shè)置成trunk。

四、防火墻
CISCO PIX系列屬于狀態(tài)檢測(cè)防火墻。
Note:ASA(Adaptive Security Algorithm) allows one way (inside to outside) connections without an eXPlicit configuration in memory.

1、特點(diǎn)
（1）自適應(yīng)安全算法（ASA）
創(chuàng)建狀態(tài)會(huì)話流表（state table）。各種連接信息都被記錄進(jìn)表中。
ASA是一個(gè)有狀態(tài)、面向連接的過(guò)程，它在狀態(tài)表中維持會(huì)話信息，應(yīng)用對(duì)狀態(tài)表的安全策略來(lái)控制通過(guò)防火墻的所有流量。
連接狀態(tài)包括：源/目的IP，源/目的端口，TCP順序信息，附加的TCP/UDP標(biāo)記。應(yīng)用一個(gè)隨機(jī)產(chǎn)生的TCP順序號(hào)。總稱為“會(huì)話對(duì)象”。

內(nèi)部不主動(dòng)發(fā)出數(shù)據(jù)，要求響應(yīng)，外部的數(shù)據(jù)就無(wú)法進(jìn)入內(nèi)部了嗎。
PIX中ASA和狀態(tài)過(guò)濾的工作機(jī)制：
a、 內(nèi)部主機(jī)開始一個(gè)對(duì)外部資源的連接
b、 PIX在狀態(tài)表中寫入一個(gè)會(huì)話（連接）對(duì)象
c、 會(huì)話對(duì)象同安全策略相比較。假如連接不被答應(yīng)，此會(huì)話對(duì)象被刪除，并且連接被取消
h、 假如安全策略認(rèn)可這個(gè)連接，此連接繼續(xù)向外部資源發(fā)送
j、 外部資源響應(yīng)這個(gè)請(qǐng)求
k、 響應(yīng)信息到達(dá)防火墻，與會(huì)話對(duì)象比較。匹配則響應(yīng)信息被發(fā)送到內(nèi)部主機(jī)，不匹配則連接就會(huì)被取消。

 （2）貫穿式代理
認(rèn)證和授權(quán)一個(gè)防火墻上輸入/輸出的連接。
它在應(yīng)用層完成用戶認(rèn)證，依照安全策略檢驗(yàn)授權(quán)。當(dāng)安全策略授權(quán)時(shí)打開這個(gè)連接。這個(gè)連接后面的流量不再在應(yīng)用層處理，而是進(jìn)行狀態(tài)檢測(cè)。

（3）冗余

2、基本配置

配置完基本參數(shù)后，發(fā)現(xiàn)從PIX上可以ping通內(nèi)網(wǎng)和外網(wǎng)的地址。但是內(nèi)外網(wǎng)的主機(jī)無(wú)法相互ping通。內(nèi)網(wǎng)主機(jī)無(wú)法ping通PIX外口。但是，內(nèi)網(wǎng)主機(jī)可以訪問(wèn)外網(wǎng)的服務(wù)器。（可能原因：PIX默認(rèn)關(guān)閉ICMP響應(yīng)？？）

基本配置命令：interface , nameif , ip address , nat , global , route

（1）激活以太端口
firewell#config terminal
(config)#interface ethernet0 auto
(config)#interface ethernet1 auto    !外口必須用命令激活

（2）命名端口和安全級(jí)別
(config)#nameif  ethernet1  inside  security0
(config)#nameif  ethernet0  outside  security100

（3）配置內(nèi)外口
firewell#config terminal
(config)#ip address inside 192.168.1.1 255.255.255.0
(config)#ip address outside 222.20.16.1 255.255.255.0

（4）配置NAT和PAT
(config)#nat (inside) 1 0 0   !所有的內(nèi)口地址都
(config)#nat (inside) 2 192.168.8.0 255.255.255.0   
(config)#global (outside) 2 10.1.30.150-10.1.30.160 netmask 255.255.0.0
測(cè)試配置：
  ping
  debug

（5）DMZ的訪問(wèn)

（6）轉(zhuǎn)換表的操作
show  xlate    顯示轉(zhuǎn)換表的信息
clear  xlate     每次重建轉(zhuǎn)換表要運(yùn)行，以清除原有的轉(zhuǎn)換槽，否則原信息將在超時(shí)（3小時(shí)）后才被丟棄
show conn    查找連接故障，為選擇的特定選項(xiàng)顯示所有活動(dòng)的TCP連接的數(shù)量和狀態(tài)
可以更改轉(zhuǎn)換表的操作：
nat ，global ，static ，route，alias，conduit

（7）配置網(wǎng)絡(luò)時(shí)間協(xié)議（NTP）
 NTP server與PIX的關(guān)系

（8）訪問(wèn)配置
經(jīng)由PIX的入站訪問(wèn)

step1：靜態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換
  靜態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換，不節(jié)省已經(jīng)分配的IP地址 
static [( prenat_interface,postnat_interface)] {mapped_address interface} real_address [dns] [netmask mask] [norandomseq] [ max_cons [em_limit]]
   設(shè)定一個(gè)內(nèi)部地址到一個(gè)外部地址的映射
   (config)#static (inside,outside) 211.70.96.10 10.1.100.10 netmask 255.255.255.255
   或者一個(gè)內(nèi)部網(wǎng)絡(luò)到一個(gè)外部網(wǎng)絡(luò)的映射
   (config)#static (inside,outside) 211.70.96.0 10.1.100.0 netmask 255.255.255.0
   靜態(tài)端口地址轉(zhuǎn)換，不支持H.323或者多媒體應(yīng)用流量
   static [(internal_if_name,external_if_name)] {tcpudp} {global_ip interface} global local_ip local_port [netmask mask] [ max_cons [emb_limit [norandomseq]]]

step2：訪問(wèn)列表/管道
訪問(wèn)列表的工作基于首次匹配，所以對(duì)于入站訪問(wèn)而言，必須先拒絕后許可
access-list id action protocol source_address s_mask s_port destination_address d_mask d_port
access-list設(shè)定了規(guī)則，但是要用access-group將規(guī)則設(shè)定到一個(gè)界面上，一個(gè)界面只能設(shè)一個(gè)規(guī)則。
access-group ID in interface interface_name
source_address:是lower security level interface/network
destination address：higher security level interface/network
source and destination address 都是全局地址，這樣才有可比性,并且 ACL一般設(shè)在lower security level interface

 假如ACL設(shè)置在higher security level interface，則會(huì)控制高級(jí)到低級(jí)的數(shù)據(jù)流
 access-list中的source_address是指的在access-group中設(shè)定ACL規(guī)則作用的接口

 例子：限制內(nèi)部用戶對(duì)位于端口80的一個(gè)外部網(wǎng)絡(luò)服務(wù)器的訪問(wèn)
(config)#access-list acl_in deny tcp any host 172.16.68.20 eq www
(config)#access-list acl_in permit ip any any
(config)#access-group acl_in in interface inside

ASA applies to the dynamic translation slots and static translation slots.
Create static translation slots with the static command
Create dynamic translation slots with the global command

對(duì)象分組
[no] object-group object-type grp-id
network對(duì)象類型：
(config)#object-group network web-servers  !設(shè)定分組名稱
(config-network)#description Public web servers  ！分組描述
(config-network)#network-object host 192.168.1.12    ！添加分組對(duì)象
(config-network)#network-object host 192.168.1.14    ！添加分組對(duì)象
(config-network)#network-object host mis.web.server4    ！添加分組對(duì)象
(config-network)#exit
(config)#access-list 102 permit tcp any object-group web_servers eq www
(config)#access-group 102 in interface outside

顯示配置的對(duì)象分組：
show access-group

protocol 對(duì)象類型：
進(jìn)入對(duì)象配置接口：object-group protocol grp-id
(config-protocol)#protocol-object tcp  !添加分組成員

service對(duì)象類型：
進(jìn)入對(duì)象配置接口：object-group service obj_grp_id tcp udp tcp-udp
(config)#object-group service mis_service tcp
(config-service)#port-object eq FTP  !eq service將一個(gè)單獨(dú)的端口號(hào)加入
(config-service)#port-object range 5000 6000 !range begin end 將一組端口加入

icmp-type對(duì)象類型：
進(jìn)入對(duì)象配置接口：object-group icmp-type icmp_test
(config-icmp-type)#icmp-object 0
(config-icmp-type)#icmp-object 3
(config-icmp-type)#icmp-object 8

fixup命令

實(shí)例與測(cè)試
總結(jié)
1．Higher security level -> lower security level時(shí)，只要配置NAT，global或者static就可以使內(nèi)部主機(jī)主動(dòng)訪問(wèn)外部server。

2．Lower security level->higher security level時(shí)，要配置：access-list + access-group才能使外部主機(jī)主動(dòng)訪問(wèn)內(nèi)部server。在多個(gè)端口上配置access-list，會(huì)影響前面的配置。

3．要注重主機(jī)上的網(wǎng)關(guān)參數(shù)的設(shè)定。網(wǎng)關(guān)上應(yīng)該設(shè)定默認(rèn)路由，默認(rèn)路由應(yīng)該是接出局域網(wǎng)的上層設(shè)備的接口地址。

五、IP電話
1、常用術(shù)語(yǔ)和縮寫
PBX：private branch (telephone) exchange，專用分組交換機(jī)
IVR：interactive Voice Responder，交互式語(yǔ)音應(yīng)答器
ACD：自動(dòng)呼叫分配器
CTI：計(jì)算機(jī)電話集成

六、VPN

七、網(wǎng)絡(luò)性能
1、應(yīng)用響應(yīng)時(shí)間
（1）應(yīng)用響應(yīng)網(wǎng)絡(luò)變化的速度

（2）網(wǎng)絡(luò)響應(yīng)網(wǎng)絡(luò)擁塞并改變自身鏈接速度的時(shí)間

2、設(shè)備性能
（1）單個(gè)網(wǎng)絡(luò)設(shè)備的極限
設(shè)備性能測(cè)量：
錯(cuò)誤、丟棄：
CPU使用率：
吞吐量（每秒包）：

3、協(xié)議性能
   設(shè)備動(dòng)態(tài)操作能力（驗(yàn)證路由選擇和生成樹協(xié)議STP動(dòng)態(tài)的處理問(wèn)題）：

4、可擴(kuò)展性
拓?fù)洌?br />尋址：答應(yīng)路由匯總
路由選擇協(xié)議：

5、可用性
設(shè)備冗余：
鏈路冗余：
協(xié)議彈性：
網(wǎng)絡(luò)容量設(shè)計(jì)：發(fā)生冗余鏈路失效時(shí)的擴(kuò)展

八、網(wǎng)絡(luò)安全
1、周邊安全
控制訪問(wèn)網(wǎng)絡(luò)入口點(diǎn)和出口點(diǎn)

2、安全連接
VPNs（虛擬專用網(wǎng)）

3、應(yīng)用安全
服務(wù)器安全：
應(yīng)用程序安全：

4、身份驗(yàn)證
安全認(rèn)證和授權(quán)

5、安全治理和監(jiān)控
安全資源集中治理：
未授權(quán)活動(dòng)的偵測(cè)：

九、網(wǎng)絡(luò)結(jié)構(gòu)

1、三層式模式
（1）核心層（Core layer）：只有一個(gè)目標(biāo)――交換包。核心層不做任何通信控制（如訪問(wèn)控制于過(guò)濾），此層上的每個(gè)設(shè)備都應(yīng)該能夠知道到達(dá)目標(biāo)網(wǎng)絡(luò)的路徑。

 核心層路由器：主要功能是對(duì)所有接入的路徑提供最優(yōu)化服務(wù)（好用與可靠的網(wǎng)絡(luò)）。路徑通往不同的工作站和邏輯群組。其首先考慮的是可靠性，要設(shè)計(jì)成具有容錯(cuò)能力。適用的CISCO路由器為7000和12000系列。

（2）分布層（Distribution layer）：主要任務(wù)是提供連接到互聯(lián)網(wǎng)中不同的部分，以及提供到不同服務(wù)處的訪問(wèn)功能。如校園網(wǎng)絡(luò)的骨干。分布層是實(shí)施治理基于策略的連接（Policy-based Connectivity）的層次。

分布層路由器：控制使用位于核心層的網(wǎng)絡(luò)資源，必須有效利用帶寬，確保服務(wù)質(zhì)量。主要考慮能夠選擇到不同位置的最優(yōu)路徑。適用的CISCO路由器為3000和4000系列。

（3）訪問(wèn)層（Access layer）：為工作組提供組織內(nèi)的各種資源，并且可以治理網(wǎng)絡(luò)流量與過(guò)濾用戶，以符合特定用戶群的需求。
訪問(wèn)層路由器：將廣播和請(qǐng)求服務(wù)的流量區(qū)域化，局限流量在訪問(wèn)層的媒體上，控制通信流量。主要考慮經(jīng)濟(jì)性和有效性，過(guò)濾不必要的流量，保證服務(wù)端與客戶端的通信簡(jiǎn)單流暢。適用的CISCO路由器為1700和2600系列。

2、可擴(kuò)展型網(wǎng)絡(luò)的主要特點(diǎn)
（1）可靠
核心層路由器通過(guò)選擇新的路徑和對(duì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)改變的迅速反應(yīng)，來(lái)適應(yīng)部分網(wǎng)段失效的情況。Cisco IOS所支持的加強(qiáng)可靠度和隨時(shí)可用性的協(xié)議包括：具有可擴(kuò)充性的路由協(xié)議、路由通道和撥號(hào)備份路徑。
        具有可擴(kuò)充性的路由協(xié)議：OSPF（Open Shortest Path First），NLSP（NetWare Link Services Protocol），EIGRP（Enhanced Interior Gateway Routing Protocol）。這些協(xié)議具有：可通達(dá)各網(wǎng)絡(luò)，快速的收斂時(shí)間和阻塞控制。
（2）替代路徑
        增加物理上的冗余線路不是一個(gè)最有效的解決方法。成本高又無(wú)法控制鏈路中斷的問(wèn)題。路由器使用可擴(kuò)充性的路由協(xié)議來(lái)維護(hù)一張整個(gè)網(wǎng)絡(luò)的拓?fù)鋱D。當(dāng)發(fā)現(xiàn)問(wèn)題時(shí)，路由器重新選擇新的路徑來(lái)轉(zhuǎn)送包。